Какво е криптографски хеш?

Основите на алгоритмите за криптиране са доста лесни за разбиране. Входен или обикновен текст се взема заедно с ключ и се обработва от алгоритъма. Резултатът е криптиран и известен като шифрован текст. Критична част от алгоритъма за криптиране обаче е, че можете да обърнете процеса. Ако имате шифрован текст и ключ за декриптиране, можете да стартирате алгоритъма отново и да получите обратно обикновения текст. Някои видове алгоритми за криптиране изискват един и същ ключ да се използва както за криптиране, така и за декриптиране на данни. Други изискват чифт ключове, един за криптиране и друг за дешифриране.

Концепцията за алгоритъм за хеширане е свързана, но има няколко критични разлики. Най-важната разлика е фактът, че алгоритъмът за хеширане е еднопосочна функция. Поставяте обикновен текст в хеш функция и получавате хеш-дайджест, но няма начин да превърнете този хеш-дайджест обратно в оригиналния обикновен текст.

Забележка: Резултатът от хеш функцията е известен като хеш дайджест, а не шифрован текст. Терминът хеш дайджест също често се съкращава до „хеш“, въпреки че използването му понякога може да не е ясно. Например, в процес на удостоверяване, вие генерирате хеш и го сравнявате с хеша, съхранен в базата данни.

Друга ключова характеристика на хеш функцията е, че хеш дайджестът винаги е един и същ, ако предоставите един и същ вход в обикновен текст. Освен това, ако направите дори малка промяна в обикновения текст, изходът за хеш-дайджест е напълно различен. Комбинацията от тези две характеристики прави хеширащите алгоритми полезни в криптографията. Обичайна употреба е с пароли.

Алгоритми за хеширане на пароли

Когато влезете в уебсайт, вие му предоставяте вашето потребителско име и парола. На повърхностно ниво след това уебсайтът проверява дали въведените от вас подробности съответстват на данните, които има във файла. Процесът обаче не е толкова прост.

Нарушенията на данните са сравнително чести, много вероятно е вече да сте били засегнати от такова. Клиентските данни са една от големите цели при нарушаване на сигурността на данните. Списъците с потребителски имена и пароли могат да се търгуват и продават. За да направят целия процес по-труден за хакерите, уебсайтовете обикновено изпълняват всяка парола чрез алгоритъм за хеширане и съхраняват само хеша на паролата, а не самата действителна парола.

Това работи, защото когато потребител се опита да се удостовери, уебсайтът може също така да хешира изпратената парола и да я сравни със съхранения хеш. Ако те съвпадат, тогава той знае, че е изпратена същата парола, дори и да не знае каква е била действителната парола. Освен това, ако базата данни със съхранените в нея хешове на пароли бъде пробита от хакери, те не могат веднага да видят какви са действителните пароли.

Силни хешове

Ако хакер има достъп до хешове на пароли, няма какво да направи веднага с тях. Няма обратна функция за дешифриране на хешовете и преглед на оригиналните пароли. Вместо това те трябва да се опитат да разбият хеша. Това основно включва процес на груба сила на много предположения за пароли и гледане дали някой от хешовете съвпада с тези, съхранявани в базата данни.

Има два проблема, когато става дума за силата на хеш. Силата на самата функция за хеширане и силата на паролата, която е хеширана. Ако приемем, че се използват силна парола и алгоритъм за хеширане, хакерът трябва да изпробва достатъчно пароли, за да изчисли 50% от цялото изходно пространство за хеш, за да има шанс 50/50 да разбие всеки отделен хеш.

Обемът на обработка може драстично да се намали, ако алгоритъмът за хеширане има слабости в него, които или изпускат данни, или имат повишен шанс случайно да има същия хеш, известен като сблъсък.

Атаките с груба сила могат да бъдат бавни, тъй като има огромен брой възможни пароли, които да опитате. За съжаление, хората са склонни да бъдат доста предсказуеми, когато измислят пароли. Това означава, че могат да се правят обосновани предположения, като се използват списъци с често използвани пароли. Ако изберете слаба парола, тя може да бъде позната значително по-рано, отколкото предполагат 50% от пътя през изходното пространство за хеширане.

Ето защо е важно да използвате силни пароли. Ако хешът на вашата парола е включен в нарушение на сигурността на данните, няма значение дали уебсайтът е използвал най-добрия възможен и най-сигурен наличен алгоритъм за хеширане, ако паролата ви е „password1“, тя пак ще бъде позната почти мигновено.

Заключение

Алгоритъмът за хеширане е еднопосочна функция. Той винаги произвежда един и същ изход, ако му бъде предоставен същия вход. Дори незначителни разлики във входа значително променят изхода, което означава, че не можете да разберете дали сте били близо до правилния вход. Хеш функциите не могат да бъдат обърнати. Няма начин да се каже какъв вход е бил използван за генериране на даден изход, без просто да гадаете. Криптографската хеш функция е криптографски защитена и подходяща за приложения, които се нуждаят от такъв вид сигурност. Обичаен случай на употреба е хеширането на пароли. Други случаи на употреба включват хеширане на файлове като проверка на целостта.